Adventalia - Proteccion de Datos – Vigo – Coruña

FAQS

En este apartado se recogen algunas de las cuestiones planteadas en nuestro trabajo diario por nuestros clientes en el desarrollo de sus proyectos de consultoría

1. ¿Puede otorgar un menor su consentimiento para el tratamiento de datos?

La AEPD distingue:

Mayores de 14 años a los que en virtud del artículo 162 del C.Civil cabe considerar que disponen de madurez suficiente para consentir, por sí mismo, al tratamiento automatizado de sus datos de carácter personal toda vez que nuestro ordenamiento jurídico viene, en diversos casos, a reconocer a los mayores de catorce años la suficiente capacidad de discernimiento y madurez para adoptar por sí solos determinados actos de la vida civil.
Menores de 14 años, será necesario recabar el consentimiento de sus representantes legales.

2. Identificación de los cesionarios en la recogida de datos. ¿Es posible?

Según la LOPD, para determinar la validez de una cesión de datos de carácter personal a un tercero, el consentimiento ha de ser informado, esto es, el titular de los datos o particular afectado, ha de recibir del cedente la suficiente información que le permita conocer la finalidad a la cual se destinarán los datos, cuya comunicación autoriza, o el tipo de actividad del tercero a quien se pretenden comunicar.

En el caso de que el consentimiento, y la correlativa información al afectado se refiera a una posible cesión de datos, será preciso que el mismo permita identificar claramente las finalidades para las que los datos serán objeto de cesión y los destinatarios de los datos, al menos con referencia a su tipo de actividad, tal y como exige el artículo 11.3 de la Ley Orgánica 15/1999

En particular, en cuanto a la delimitación de los destinatarios por su tipo de actividad, esta Agencia Española de Protección de Datos ha señalado reiteradamente que la mera referencia al uso de los datos con fines de “publicidad” o “remisión de información” de productos o servicios, sin especificar el sector al que los mismos vienen referidos no resultaría suficiente para considerar el consentimiento prestado como “específico” e “inequívoco”, en los términos exigidos por el artículo 3 h) de la Ley Orgánica 15/1999, siendo necesario a tal efecto que se indiquen claramente los sectores de actividad respecto de los cuales va a remitirse la información o la publicidad.

Al propio tiempo, debe recordarse que, tal y como dispone el artículo 11.4 de la Ley Orgánica 15/1999 dispone que “El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable” y que el artículo 16 reconoce el derecho de los afectados a ejercitar sus derechos de rectificación y cancelación.

3. Un fichero jurídico está repartido en, por ejemplo un fichero de Clientes lo podemos tener repartido así...
        - En Access con todos sus datos personales y de los servicios realizados a esos clientes con un sistema de acceso con permisos y contraseñas.
        - En Facturaplus con una sencilla contraseña sin más.
        - En Contaplus (en las cuentas) con el mismo tipo de contraseña que en Facturaplus.
        - Sus emails en outlook.
¿Debería separar el fichero en varios?, debido al distinto uso de varios ficheros informáticos (yo creo que no) y al uso de distintos sistemas empleados en su protección y sistemas de control de acceso… identificación de los cesionarios en la recogida de datos. ¿Es posible?

Sin duda, es posible pero no recomendable. El soporte físico no debe condicionarnos conceptualmente, o sea, en lo que se refiere a la categorización en ficheros jurídicos, aqui lo que importa es la finalidad, uso, contenido, coincidencia de cesionarios, transferencias internacionales, etc. Si estos condicionantes son comunes a los conjuntos de datos evaluados, todos los datos deben declararse dentro del mismo fichero jurídico, aun siendo lícito (pero no óptimo) el enfoque de identificar un fichero por cada conjunto de datos.

4. Se me ocurre un caso muy común. Si en una empresa sólo tienen un ordenador que usan 10 empleados. Se supone que cada vez que alguien lo usa debería cerrar sesión e iniciarla otro usuario,... un verdadero rollo. Conozco varios casos como este. ¿Cuál sería la solución más correcta? ¿Entrar todos como un usuario genérico con contraseña y trabajar así?

En el caso que comenta, efectivamente la solución correcta sería cerrar sesión, precisamente una de las recomendaciones que hacemos, en base a la exigencia reglamentaria, es la de no utilizar nunca usuarios genéricos.

5. Quería hacer un comentario acerca de una empresa que contiene datos de salud. No cede ni trata esos datos. Tan sólo los guarda y trabaja con ellos. Esta situación hace que tenga que incorporar ciertas medidas para adecuarse al nivel alto que marca la legalidad. Podrías, someramente adelantarme esas medidas. Simplemente. Como siempre muchas gracias por sus comentarios

Ante todo, le comento que cuando dice que esa empresa "No cede ni trata esos datos. Tan solo los guarda y trabaja con ellos" querría matizar que cuando una persona física o jurídica almacena datos de carácter personal, ello implica que realiza un tratamiento sobre ellos, ya que la definición jurídica de "tratamiento" incluye el almacenamiento. Sólo hago esta puntualización para que tengamos un discurso común, y no nos dejemos caer en el juego de algunos clientes que nos dicen que "yo no trato los datos, sólo los almaceno" cuando "almacenar", desde el punto de vista legal es un sinónimo de "tratar", siendo este razonamiento algo que no es intuitivo sobre todo para gente como nosotros con formación técnica.

En respuesta a su pregunta principal, le enumero las medidas de seguridad exigibles para datos de nivel alto, recogidas en el R.D. 994/1999:

Articulo 23. Distribución de soportes.

La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada durante su transporte.

Artículo 24. Registro de accesos.

De cada acceso se guardarán. como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado a denegado.

En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.

Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores estarán bajo el control directo del responsable de seguridad competente sin que se deba permitir, en ningún caso, la desactivación de los mismos.

El periodo mínimo de conservación de los datos registrados será de dos años.

El responsable de seguridad competente se encargará de revisar periódicamente la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes.

Artículo 25. Copias de respaldo y recuperación.

Deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los datos en un lugar diferente de aquél en que se encuentren los equipos informáticos que los tratan cumpliendo en todo caso, las medidas de seguridad exigidas en este Reglamento.

Artículo 26. Telecomunicaciones.

La transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.

Es importante darse cuenta de que, a consecuencia de los artículos 23 y 25, las copias de seguridad deben ubicarse fuera de las instalaciones (art. 25) y además, al salir fuera de las mismas, deben ir cifradas (art. 23).

6. Se trata de del documento de delegación de tratamiento de datos, necesito que me manden algun ejemplo de anexo I que es lo que ponen normalmente. Gracias

En el Anexo I normalmente no indicamos nada, ya que precisamente esa parte tendrá que cubrirla el cliente, estipulando cuando sea el Responsable del Fichero, las instrucciones para el Encargado del Tratamiento (CASO 1) o bien, cuando el cliente sea Encargado del Tratamiento, describirá el servicio prestado al cliente (CASO 2)

Ejemplo real de CASO 1:

El tratamiento a realizar sobre los datos de carácter personal contenidos en el fichero, comprenderá todos aquellos procesos que tengan como finalidad la adecuada gestión laboral del personal de [RAZON SOCIAL CLIENTE], contratación, interacciones con la S.S., gestión de nóminas, gestión de IRPF.

(realmente, conviene entrar en mas detalle, aunque para tratamientos de nóminas como era el caso, no era necesario)

Ejemplo real de CASO 2:

En el presente anexo, el Responsable del Fichero describe los ficheros cuyo tratamiento se delega en el Encargado del Tratamiento y enumera las instrucciones para el tratamiento que deberán observar los susodichos.

Procedencia de los datos:
Los datos almacenados en el fichero corresponden a los datos de los [indicar los interesados de los cuales se han recabado los dato, p. ej: clientes, personal, proveedores] del Responsable del Fichero.

Contenido del fichero:
[lista de tipos de datos de carácter personal, objeto del tratamiento y comunicados por el Responsable del Fichero, p. ej: DNI, NOMBRE, etc]

El Responsable del Fichero comunicará exclusivamente al Encargado del Tratamiento y Prestadores de Servicios los datos de sus [proveedores], enumerados ut supra.

Finalidades e instrucciones para el tratamiento de los datos:
[finalidades e instrucciones para el tratamiento]

Cesiones de datos:
El Responsable del Fichero autoriza al Encargado del Tratamiento y Prestadores de Servicios a comunicar datos del fichero a Administraciones Públicas en caso de que exista una ley que obligue a dicha comunicación.

Nivel de seguridad de los datos:
El nivel de seguridad de los datos contenidos en el fichero se corresponde con el nivel [NIVEL] de seguridad definido en el R.D. 994/1999.

En definitiva, cuando el cliente adopta la figura de responsable de fichero, debe describir el servicio que quiere que le preste la otra entidad.

En cambio, si es el cliente quien presta el servicio al responsable del fichero (adoptando la figura de encargado del tratamiento) entonces debe describir el servicio que presta al cliente. Debe entender los ejemplos propuestos en los casos 1 y 2 sólo como ejemplos, no como sugerencias de cumplimentación, se trata de describir el servicio que le prestan al cliente o que presta el cliente.

7. Estoy preparando una propuesta para un cliente y se me plantea una duda.
El cliente tiene 3 empresas, una española, una francesa y otra portuguesa.
Tanto la francesa como la portuguesa lo único que tienen en sus países respectivos es el área comercial.
Todo el soporte informático y humano de las empresas francesa y portuguesa está en España. De hecho tienen un único SAP en el CPD de España que da soporte a las 3 empresas.
En la mayoría de las ocasiones en que las áreas comerciales de Francia y Portugal cierran una operación, el personal de la empresa española, desde su sistema informático, gestiona los pedidos, expediciones, facturación y cobros, siempre en nombre y con la documentación de la empresa francesa o portuguesa.

Tal y como describe el problema, la entidad española actúa de encargado del tratamiento para las entidades extranjeras.

De este modo, interpretado a contrario sensu el artículo 4.1 a) de la Directiva 95/46/CE, en relación con lo dispuesto en la Directiva, el tratamiento efectuado en el marco de las actividades de responsables del fichero ubicados en Francia o Portugal y sometidos a sus legislaciones internas en materia de protección de datos deberá regirse por las disposiciones de las susodichas legislaciones en la materia y no por lo previsto en la Ley española.

La clave entonces será consultar a cada una de las entidades extranjeras si están sometidas a sus legislaciones internas en protección de datos.

La única excepción a lo que acaba de indicarse estribaría en el hecho de que la entidad ubicada en España deberá cumplir con las medidas de seguridad establecidas en la legislación española, en particular en el Reglamento aprobado por Real Decreto 994/1999, de 11 de junio.

Este argumento está basado en la doctrina de la AEPD y por tanto es plenamente justificable. Sin embargo, en base a nuestro enfoque, recomendamos además la formalización de sendos contratos basados en el Art.12 que vinculen a cada entidad extranjera con la entidad española.

8. Un cliente tiene varias empresas que le prestan un servicio (mantenimiento inforáático, asesoíía, prevención de riesgos laborales, etc) con las que ya tienen firmado un contrato aunque sin cláusula LOPD. ¿Habría que firmar un nuevo contrato o se puede firmar un acuerdo de confidencialidad que complemente el contrato?

La solución sería o bien firmar un nuevo contrato en términos del artículo 12 LOPD utilizando nuestro modelo o bien incluir el clausulado de ese contrato en un anexo al contrato existente, exigiendose la firma y conformidad de las partes para la inclusión de dicho anexo.

En cualquier caso, no sería válido el uso del Acuerdo de Confidencialidad, ya que este se reserva a aquellos casos en los que precisamente no hay tratamiento de datos personales.

9. Un cliente trabaja con un banco y cuando les envié el contrato de prestación de servicios para que lo firmara el banco que ingresa las nóminas de los trabajadores éstos respondieron que no tienen autorización a firmar nada , únicamente pueden entregar al cliente un certificado firmado por un apoderado del banco tal y como el que os adjunto. Entiendo que incumple el artículo 12 pero quería pedir su opinión sobre si es adecuada o no la medida propuesta por el banco.

Tal y como comenta, el certificado emitido por el banco no garantiza el cumplimiento del artículo 12 de la LOPD.

En primer lugar, en este certificado se habla de "los datos personales registrados en los ficheros de los que es responsable el Banco". En el caso que me comenta el Banco asume la figura de encargado del tratamiento y no del responsable del fichero.

En segundo lugar, el artículo 12 de la LOPD es claro al respecto: el tratamiento deberá estar regulado en un contrato por escrito o cualquier otra forma que permita acreditar su celebración y contenido en el que se establecerá expresamente:

Que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del fichero. Estas instrucciones deberán plasmarse y detallarse con toda claridad en el contrato (en el certificado que adjuntas no figuran, se habla de cumplir "unas instrucciones" sin que éstas se detallen en ningún momento).
Que el encargado del tratamiento no aplicará ni utilzará los datos con un fin distinto al que figura en dicho contrato, ni los comunicará ni siquiera para su conservación a otras personas (en el certificado que adjuntas esto no figura).
Las medidas de seguridad que está obligado a implantar el encargado del tratamiento con respecto a estos datos. Para ello, el responsable del fichero habrá de comunicar al encargado del tratamiento el nivel básico, medio o alto de los datos que comunica al mismo (en el certificado que adjuntas esto no figura).
Que una vez cumplida la prestación contractual (por ejemplo, tu cliente mañana cambia de banco), los datos serán destruidos o devueltos al responsable del fichero (en el certificado que adjuntas esto no figura).

Todos estos aspectos son recogidos en el modelo contrato de delegación del tratamiento que, como me ha comentado, ha entregado a su cliente.

Además, hay que tener en cuenta que esto es un certificado emitido por una persona jurídica que no puede ser firmado por la otra parte en la relación jurídica que aquí se establece: su cliente.

Por último, el contrato ha de identificar con toda claridad quién asume la figura de responsable del fichero y quién la de encargado de tratamiento.

Por tanto, con este certificado emitido por el Banco su cliente no está protegido frente a una posible sanción de la AEPD.

De todas formas, todos los Bancos disponen de un departamento de asesoría jurídica interno. Desde la oficina que emitió este certificado podrán elevar este problema a dicho departamento.

10. Tenemos un cliente al que un banco le ingresa las nóminas de los trabajadores. Le hemos dicho a nuestro cliente que firme un contrato de prestación de servicios (lo adjunto) tal y como exige el artículo. La respuesta del banco, realmente parece contradictoria sin embargo me gustaría tener la opinión de un abogado especialista en la materia.

Con relación a la carta enviada por el banco a ustedes con fecha de 9 de septiembre de 2005, le exponemos nuestra opinión sobre la misma:

Por supuesto que el banco presta servicios bancarios, atendiendo sus ordenes de cobros y pagos contra su cuenta en la Entidad” y esta obligada a cumplir no solo con el articulo 12 de la LOPD, sino con todos los demás. Estando de acuerdo en lo anterior y que el servicio prestado (cobrar o pagar facturas), además de los efectos financieros que pueda llevar aparejados, implica igualmente que la empresa accede a los nombres y apellidos, entre otros posibles datos como el NIF de los trabajadores en cuestión, cabe recordar por lo tanto, que el artículo 12 de la LOPD no permite otra interpretación dada su claridad: el tratamiento deberá estar regulado en un contrato por escrito o cualquier otra forma que permita acreditar su celebración y contenido.
En el contrato se establecerá expresamente:

Que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del fichero. Estas instrucciones deberán plasmarse y detallarse con toda claridad en el contrato (en el certificado que adjuntas no figuran, se habla de cumplir "unas instrucciones" sin que éstas se detallen en ningún momento).
Que el encargado del tratamiento no aplicará ni utilizará los datos con un fin distinto al que figura en dicho contrato, ni los comunicará ni siquiera para su conservación a otras personas.
Las medidas de seguridad que está obligado a implantar el encargado del tratamiento con respecto a estos datos. Para ello, el responsable del fichero habrá de comunicar al encargado del tratamiento el nivel básico, medio o alto de los datos que comunica al mismo.
Que una vez cumplida la prestación contractual (por ejemplo, el cliente cambia de banco), los datos serán destruidos o devueltos al responsable del fichero.
El contrato ha de identificar con toda claridad quién asume la figura de responsable del fichero y quién la de encargado de tratamiento.

Conclusión: el banco debería formalizar un contrato en base al artículo 12 de la LOPD con los contenidos anteriormente citados.

11. ¿Qué significa la expresión "Información de Servicios Financieros"?

Es una expresión que se refiere a aquellos responsbles de ficheros cuya actividad económica se la prestación de servicios financieros, principalmente entidades de crédito, las cuales almacenan en sus ficheros de clientes datos relativos al nivel de riesgo asociado a la concesión de un préstamo, solvencia, etc.

12. ¿Cada cuánto hay que actualizar el documento de seguridad?

Legalmente, en todo momento; el RMS dice: "deberá mantenerse en todo momento actualizado”.

Razonablemente, una vez al mes o cuando haya cambios importantes en el SI por dimensión o naturaleza.

13. Si una gestoría es encargado del tratamiento de los ficheros de nóminas de muchos clientes, ¿es necesario que tenga un documento de seguridad para cada cada cliente?

Es necesario que exista al menos un documento de seguridad que se refiera al fichero del cliente.

No hay una cardinalidad definida legalmente, por tanto un documento de seguridad puede referirse a todos los ficheros de los clientes o bien la relación puede ser 1:1 (un documento de seguridad para cada fichero de cliente). La opción elegida debe ser la mas optima de cara al mantenimiento.

14. Buenos días. Nuestro cliente tiene colocada una cámara en la entrada de sus oficinas. Las imágenes captadas por la cámara se visualizan en una pantalla en la administración, de forma que se controla quién llama y a quién se la abre la puerta. Sin embargo estas imágenes no se graban, sólo se visualizan a tiempo real. Sabemos que la definición de tratamiento de datos de la LOPD es muy amplia y que, estrictamente hablando, se produce un tratamiento de estas imágenes, pero teníamos entendido que si no se producía grabación no era necesario aplicar la LOPD. ¿Qué debemos hacer? Muchas gracias

Las imágenes captadas por las videocámaras sólo tendrán la consideración de datos de carácter personal cuando sea posible identificar la persona cuya imagen se capta. Además será necesario que estos datos de carácter personal sean incorporados a un fichero, es decir, que conformen un conjunto organizado de datos de carácter personal. Ello implica, grabación, almacenamiento y tratamiento de estas imágenes de manera a permitir la realización de una búsqueda a partir de los datos personales del afectado.

Con relación a la utilización de videocámaras en la red de metro la Agencia en su Memoria del año 2000, consideró que la utilización de videocámaras “será posible, sin consentimiento de los afectados, siempre que no pueda procederse a la identificación de las personas que aparecen en las imágenes o, en caso de existir, dichas imágenes no sean incorporadas a un fichero, ya que en caso contrario seria precio el consentimiento del afectado, o que una norma con rango de ley formal permitiese dicha grabación.”

Por lo tanto, podemos concluir diciendo que si no hay grabación no hay tratamiento. Esperamos haber solucionado sus dudas y le agradecemos la confianza depositada en los servicios ADHEC.

15. Una clínica privada gestiona ficheros con datos de carácter personal como son el fichero de historiales. Esta clínica de manera trimestral debe pasar informes a el servicio público de salud de la correspondiente comunidad autónoma. Estos informes que pasa, los pasa con todos los datos personales de los sujetos que ha atendido, esto es con los datos de su DNI, nombre, apellidos, etc; así como las enfermedades que han pasado o las enfermedades que adolecen y de las que han sido tratados. El servicio público de salud utiliza estos informes para elaborar estadísticas sobre enfermedades más frecuentes, número de pacientes que tienen cáncer, sida, etc... mi pregunta es la siguiente: 1. ¿cuando se pasan estos informes por parte de la clínica privada al servicio público de salud, estamos ante una cesión de datos? 2. Al ser una cesión de datos se debe realizar un contrato de cesión de datos o como es un organismo público se presupone que no se necesita ni consentimiento o autorización del titular de los datos ni contrato que autorice la cesión de los datos. 3. Al ceder los datos se debe hacer de manera disociada, que no se puedan identificar los datos personales de los pacientes con las enfermedades que padecen. Muchas gracias por su atención.

1. Si. 2. Esta cesión de datos sólo podrá realizarse sin consentimiento del interesado en caso de que venga recogida expresamente en una norma con rango de ley. 3. Efectivamente, para una finalidad estadística los datos deben comunicarse disociados, con lo cual ya no estaríamos ante una cesión de datos de carácter personal, pero no olvidemos el artículo 11.2.f que nos dice que pueden realizarse este tipo de comunicaciones si están amparadas por una legislación sanitaria, en este caso autonómica. De todo ello, podemos deducir que para legalizar esta situación, o bien recabamos el consentimiento previo, expreso y por escrito del interesado, o bien disociamos los datos, o bien solicitamos al servicio público de salud formalmente que nos comunique bajo qué norma autonómica o estatal se ampara para requerir esos datos.

16. Me gustaría saber como considerais que se debería formalizar el tratamiento de los datos que las agencias de viajes les dan a los hoteles para realizar las reservas de habitaciones. Estos datos son temporales, ya que si el cliente no aparece para completar los datos, la reserva se anula y se borran dichos datos de la base de datos del hotel. ¿Se debe considerar como una cesión de la agencia de viajes y se debe informar al cliente? o ¿se debe considerar como un encargo de tratamiento por parte de la agencia al hotel para reservar un servicio de este?

En lo que respecta a la cuestión planteada, tenemos que decir que el enfoque correcto sería el de cesión de datos, ya que el interesado en caso de presentarse pasará a formar parte del fichero de clientes del hotel y en caso de no presentarse habrá sido tratado como un cliente potencial, pero en cualquier caso, el hotel es responsable de esos datos y no un encargado del tratamiento de los mismos. Debemos diferenciar entre tratar datos para otra entidad (art. 12) y realizar un servicio para otra entidad (esto ya no es LOPD). También es importante resaltar que la temporalidad del tratamiento no es un condicionante para su caracterización legal.

17. ¿Qué es un borrado físico y cual es la diferencia entre este y un borrado lógico?

Un borrado físico elimina de forma permanente los datos del fichero, de forma que no es posible acceder a ellos posteriormente. Un borrado lógico pone una marca de borrado a los datos, pero los elimina de forma permanente, sino que aunque no se mostraran en pantalla, sería posible editar la base de datos y verlos todavía.

18. Política sobre archivos temporales

Tendrán esta consideración aquellos ficheros que traten datos con carácter personal y cuya utilidad dentro del sistema de información pueda ser: o Tratamiento parcial o total del fichero Los ficheros temporales cuya finalidad pueda asimilarse a los ficheros en pruebas, siendo una parte o un todo de un fichero, tendrán el tratamiento de ficheros de pruebas. Niveles de seguridad aplicables Los ficheros deberán cumplir los niveles de seguridad que les corresponda con arreglo a los criterios establecidos en el momento de la declaración del fichero de origen. Creación de ficheros Los ficheros temporales deberán ser creados con la autorización del Responsable de Seguridad, la autorización podrá ser verbal o por escrito. Finalización en el uso de los ficheros Todo fichero será borrado una vez que haya dejado de ser necesario para los fines que motivaron su creación mediante un procedimiento que garantice un nivel de destrucción equiparable al nivel de seguridad aplicable al fichero original. El Responsable de Seguridad será el encargado de autorizar la destrucción del fichero y velará por que la misma cumpla los niveles de seguridad aplicables. Acceso a los ficheros El acceso a los ficheros estará restringido al personal autorizado por el Responsable de Seguridad.

19. ¿Existe algún caso donde una gestoría adaptada a la LOPD pudiera ser sancionada por tratar los datos de clientes con ficheros SI inscritos pero donde el cliente aún NO esté adaptado a la LOPD?

En el caso de un cliente tenga los ficheros inscritos y no esté adaptado a la LOPD, la gestoría puede ser sancionada ya que estaría tratando los datos sin consentimiento del afectado, lo cual sólo se puede hacer en un caso de delegación de tratamiento que debe demostrarse mediante contrato según el artículo 12 de la LOPD, contrato que no existiría si el cliente no está adaptado a la LOPD.

20. Nuestro cliente tiene una agenda web en la que introduce los datos de sus clientes, proveedores, empleados (sólo datos de carácter identificativo) y clientes potenciales; a esta agenda tiene acceso otra empresa situada en Holanda para prestar un servicio a nuestro cliente. ¿Basta con firmar un contrato de acuerdo al artículo 12 de la LOPD? ¿Es aplicable la Directiva 95/46/CE? ¿Tiene Holanda un nivel de protección equiparable a España? ¿Hay algún tipo de tratado o convenio con España? ¿Cómo hago referencia a esta transferencia internacional de datos al dar de alta los ficheros ante la AEPD si en PRIVADO no aparece Holanda? ¿Es necesaria la autorización del Director de la AEPD? Por favor, contestadme de la forma más detallada posible, indicándome todos los pasos a seguir, que estamos un poco perdidos con el tema de las transferencias internacionales.

La empresa Holandesa al estar prestando un servicio, su acceso a los datos no se considera comunicación. Como usted mismo comenta, sí seria necesario la firma de un contrato en los términos del artículo 12 de la LOPD. Con relación a la pregunta sobre el nivel de protección de Holanda se consideran países con nivel de protección adecuado los Estados Miembros de la Unión Europea (Holanda por lo tanto), Islandia, Liechtenstein y Noruega - Ley Orgánica 15/1999. La Directiva 95/46/CE tiene como efecto conseguir que el en el ámbito de la Unión Europea exista un nivel de protección equivalente en todos los países y la libertad de circulación de datos personales, la Ley Orgánica 15/1999 es e resultado de la transposición de la citada Directiva. El artículo 33 de la LOPD cuando habla de que no podrán realizarse transferencias a terceros países se refiere a “países que no proporcionen un nivel de protección equiparable al de la presente Ley” el cual, como ya hemos explicado, no es el caso de Holanda que sí tiene nivel equiparable. Al darlo de alta en la Agencia Española de Protección de Datos deberá elegir la pestaña número 12 “Transferencias” y se abrirá venta titulada “Transferencias Internacionales de Datos” en el apartado países seleccione “Países Bajos”. No es necesaria la autorización del Director de la Agencia.

21. Hola, ¿cómo debemos enfocar la adaptación de una correduría de seguros? Estas se dedican a proporcionar, en función de las características particulares de cada persona, la mejor opción de seguro. Trabajan con varias compañías de seguros, prestándoles un servicio. Cuando recaban los datos lo hacen por cuenta de la compañía con la que finalmente el cliente contratará el seguro. Según esto, la correduría no sería responsable de un fichero CLIENTES, sino que sería encargado del tratamiento de los ficheros CLIENTES de las compañías de seguros con las que trabaja, no? Pero por otra parte, mantienen una base de datos con lo clientes que han captado y la compañía con la que han contratado el seguro. ¿Podríamos considerar que la correduría es responsable de un fichero CLIENTES y que son las compañías de seguros las que le prestan a ella un servicio asegurando a sus clientes? ¿Cuál de las dos opciones anteriores es correcta?

Tal y como se indica en la consulta, cabe considerarse que el corredor será responsable del tratamiento de los datos de las personas que acudan al mismo para lograr su mediación y que la transmisión de los datos de sus clientes que el corredor realice a la entidad con la que finalmente el cliente concierte la celebración de un contrato de seguro habrá de ser considerada una cesión o comunicación de datos, necesaria para la definitiva firma del contrato de seguro y, por tanto, amparada en lo dispuesto en el artículo 11.2 c) de la Ley Orgánica 15/1999, siendo evidentemente necesario que el corredor informe al afectado de la comunicación de los datos, conforme a lo exigido por el artículo 5 de la Ley Orgánica. No obstante, es preciso tener en cuenta que una vez producida la firma de la póliza, tanto el corredor como la entidad aseguradora procederán, en virtud de sus respectivos títulos, a tratar los datos personales de los asegurados. Por este motivo, es preciso recordar que los datos a tratar por cada una de ellas podrán diferir, siendo preciso que, en cada caso, se ajusten a la finalidad que justifica el tratamiento, tal y como exige el artículo 4.1 de la Ley Orgánica 15/1999, siendo en el caso de la entidad aseguradora dicha finalidad el adecuado desenvolvimiento del contrato de seguro firmado con el asegurado o tomador, y en el del corredor de seguros el mantenimiento de su relación con el cliente y el cumplimiento del deber impuesto por el artículo 14.3 de la Ley 9/1992, según el cual "Igualmente vendrán obligados durante la vigencia del contrato de seguro en que hayan intervenido a facilitar al tomador, al asegurado y al beneficiario del seguro la información que reclamen sobre cualquiera de las cláusulas de la póliza y, en caso de siniestro, a prestarles su asistencia y asesoramiento".